Fachbeitrag teilen
Der Cyber Resilience Act (EU) 2024/2847 wurde am 20.11.2024 im EU-Amtsblatt veröffentlicht. Wie bereits in unserem Fachbeitrag zum neuen Cyber Resilience Act berichtet, definiert die neue Vorschrift Anforderungen an die Security von Produkten. Diese Anforderungen sind für Personen ohne Vorkenntnisse im Bereich der IT- bzw. OT-Security mitunter schwer einordenbar. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Unterstützung mit einer Veröffentlichung. In diesem Fachbeitrag finden Sie eine Übersicht zu den Teilen der technischen Richtlinie.
Zielsetzung und Teile der Richtlinie
Ziel der Technischen Richtlinie TR-03183: Cyber-Resilienz-Anforderungen an Hersteller und Produkte ist es, Herstellern schon vorab die Art der Anforderungen, die mit dem Cyber Resilience Act (CRA) auf sie zukommen, zugänglich zu machen. So können sich Hersteller von Produkten mit digitalen Elementen bereits vor Inkrafttreten des CRA auf die Umsetzung der Verordnung 2024/2847 vorbereiten.
Die o.g. Veröffentlichung besteht aus drei Teilen. Zum aktuellen Zeitpunkt sind erst die Teile 2 und 3 veröffentlicht.
Teil 2 (Software-Bill-of-Material – SBOM) beschreibt, wie die Anforderung des CRA hinsichtlich des Nachweises der Software-Lieferketten aussehen kann. Die finale Fassung des 2. Teils wurde im September 2024 in neuer Ausgabe veröffentlicht.
Teil 3 mit dem Titel "Vulnerability Reports and Notifications" gibt Empfehlungen zum Umgang mit eingehenden Schwachstellenmeldungen und wurde vom BSI Ende August 2025 in der erstmaligen finalen Ausgabe bereitgestellt.
Die Volltexte der beiden technischen Richtlinien können Sie über die jeweiligen Links aufrufen:
Part 2: Software Bill of Materials (SBOM)
Part 3: Vulnerability Reports and Notifications
Konferenzhinweis
Umsetzung des Cyber Resillience Acts (CRA) im Maschinenbau
In dieser 1-tägigen WEB-Konferenz erfahren Sie, welche Aspekte des Cyber Resilience Act (CRA) speziell für Hersteller im Maschinen- und Anlagenbau von Bedeutung sind und welche (Security-) Anforderungen dadurch auf Sie zukommen werden.
zur Fachkonferenz
Der erste Teil, der die Vielzahl der Anforderungen aus dem Cyber Resilience Act an Hersteller konkretisiert und erklärt, wurde Ende September 2024 als sogenannter Community Draft veröffentlicht. Wir informieren Sie natürlich umgehend, sobald wir Kenntnis davon haben, dass auch dieser Teil in finaler Fassung veröffentlicht wurde.
Gerade aus dem ersten Teil der technischen Regel können bereits aus dem Entwurfsdokument grundlegende Anforderungen an Hersteller und Produkte hervorgehoben werden:
Sicherheitsdesign: Produkte mit digitalen Elementen müssen sicher entwickelt, produziert und aktualisiert werden. Hersteller sind verpflichtet, bewährte Praktiken im Softwareentwicklungszyklus zu implementieren und Sicherheitsanforderungen wie den Schutz von Datenvertraulichkeit und -integrität zu gewährleisten.
Risikobewertung: Hersteller müssen eine Risikoanalyse über den gesamten Lebenszyklus des Produkts durchführen, um potenzielle Bedrohungen und deren Auswirkungen zu identifizieren. Diese Analyse muss dokumentiert und regelmäßig aktualisiert werden.
Sicherheitsupdates: Produkte müssen regelmäßige Sicherheitsupdates erhalten, um Schwachstellen zu beheben. Hersteller sind verpflichtet, einen Mechanismus für automatische Updates bereitzustellen, der standardmäßig aktiviert ist. Außerdem müssen Benutzer über verfügbare Updates informiert und in der Lage sein, Updates vorübergehend zu verschieben.
Zugangskontrolle: Es müssen Maßnahmen zum Schutz vor unbefugtem Zugriff implementiert werden, einschließlich starker Authentifizierungsmechanismen und der Möglichkeit, Passwörter individuell festzulegen.
Schwachstellenmanagement: Hersteller müssen ein System zur Identifizierung, Bewertung und Behebung von Schwachstellen betreiben. Sie müssen Nutzer über entdeckte Sicherheitslücken informieren und zügig Updates bereitstellen.
Dokumentation: Eine umfassende technische Dokumentation, die Informationen über Design, Entwicklungsprozesse und Sicherheitsrisiken enthält, ist erforderlich. Diese Dokumentation sollte auch Details zu durchgeführten Tests und unterstützten Komponenten umfassen.
Zusammengefasst zielen die Anforderungen darauf ab, dass Produkte sicher entwickelt und kontinuierlich aktualisiert werden, um potenziellen Cyberbedrohungen standzuhalten und die Benutzer sicherzustellen.
Fazit und weiterführende Informationen
Durch die Arbeit des BSI wird unserer Ansicht nach ein sehr wertvoller Beitrag geleistet, die Cyber-Anforderungen für Hersteller von Maschinen, Anlagen und elektrischen Geräten deutlich greifbarer zu machen. Weitere Informationen sowie die Volltexte zum Entwurfsdokument von Teil 1 können Sie auf den Seiten des BSI aufrufen und herunterladen.
Tipp:
Melden Sie sich jetzt zu unserem kostenlosen CE-InfoService an und bleiben Sie stets informiert, wenn sich relevante Neuigkeiten im Bereich der Product Compliance (z.B. die Veröffentlichung des ersten Teils von TR-03183) ergeben.
Verfasst am: 10.09.2025 (letzte Aktualisierung)
Johannes Windeler-Frick, MSc ETH Geschäftsführer der IBF Solutions. Fachreferent CE-Kennzeichnung und Safexpert. Vorträge, Podcasts und Publikationen zu unterschiedlichen CE-Themen, insbesondere CE-Organisation und effizientes CE-Management. Leitung der Weiterentwicklung des Softwaresystems Safexpert. Studium der Elektrotechnik an der ETH Zürich (MSc) im Schwerpunkt Energietechnik sowie Vertiefung im Bereich von Werkzeugmaschinen.
E-Mail: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering
Praxisgerechte Seminare rund um das Thema Produktsicherheit
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit